當前位置:
首頁 > 最新 > Intel CPU漏洞分析與安恆信息產品影響解讀

Intel CPU漏洞分析與安恆信息產品影響解讀

最新 01-11

綜述

近日,Intel CPU中曝出Meltdown(熔斷)和Spectre(幽靈)兩大新型漏洞,包括Intel、AMD、ARM等主流CPU在內,幾乎近20年發售的所有使用上述CPU的設備都受到影響,包括手機、電腦、伺服器以及雲計算產品。漏洞的CVE ID分別為:

Meltdown漏洞:CVE-2017-5754;

Spectre漏洞:CVE-2017-5753,CVE-2017-5715。

漏洞分析

漏洞起因

Intel在支持指令亂序執行時,在內存內容載入緩存到內存地址許可權檢查之間存在競爭條件,無許可權訪問的內存內容被保留在緩存中,這可能導致內存信息泄漏。而在這兩大CPU漏洞爆發之前,業界普遍認為處理器「內核」內存是不允許用戶訪問,因此是不可能被攻擊的。

Meltdown和Spectre漏洞有相似之處,即都利用了緩存這個旁路來進行越權讀取;區別在於,一個是在本進程越權讀內存,一個是讓其他進程越權讀內存。

共性 VS 特性

對比許多常見的內存信息泄露類漏洞來看,Meltdown和Spectre漏洞的共性有:

可讀取其他進程的內存

漏洞相關文檔中特別指出的是「內核」內存信息泄漏,但安恆信息的研究人員分析後得出結論,只要映射到當前進程頁表的物理頁,內容都可以泄露。在典型的Linux和Windows操作系統中,其他進程和當前進程共享同一內核空間,因此可以理解為可讀其他進程用到的內存(例如鍵盤緩衝區)。

很難「單打獨鬥」,必須有其他漏洞的配合

對比Safari、Chrome等瀏覽器的沙箱穿透攻擊,信息泄漏漏洞大多用於穿透防禦,要結合其他漏洞才能夠執行提權代碼。

但既然被一些媒體形容為「史詩級漏洞」,Meltdown和Spectre漏洞確實也有其特殊性

「原廠補丁」可能難產,漏洞暴露時間長

目前的補丁方法沒有直接修改這個晶元級的競爭條件,而是通過頁表隔離的方式來使得內核物理頁不直接映射到用戶態進程頁表,這隻能暫時緩解但並不能從根本上修復漏洞。

利用代碼的特徵較弱,無法通過主機防禦技術檢測漏洞

可利用ShellCode繞過KASLR防禦機制

KASLR(內核地址隨機化)的存在加大了漏洞利用的難度:眾多已知和未知的遠程代碼執行漏洞和本地許可權提升漏洞,由於KASLR,只能淪為拒絕服務甚至難以利用,這在很大程度上提高了漏洞攻擊失敗率和攻擊成本,使得攻擊者必須利用一些特殊條件構造難以通用的ShellCode。

但攻擊者可以利用本漏洞在線性時間內完成內核地址的探測,將其作為輔助手段,大多數原來難以利用的漏洞會變得非常易用。

可用於Dump大量內存供APT攻擊使用

許多內核信息泄露漏洞都存在地址範圍的限制,而本漏洞可以dump映射到物理內存的全部虛擬內存,這些內存裡面包含的敏感信息可供後續滲透使用,而且很可能通過某種方式將dump出來的數據傳遞出來。

除了內存泄露,是否還有其他危害?

有的。充分利用Meltdown和Spectre漏洞,攻擊者可能獲得本地執行代碼的機會:利用「很難『單打獨鬥』,必須有其他漏洞的配合」章節所述的方法,配合其他漏洞,攻擊者可以獲取對設備的完全控制權;利用「可用於Dump大量內存供APT攻擊使用」章節中所述的方法,攻擊者可以獲取用戶密碼。

對於專用安全設備來說,可能存在以下攻擊向量

界面(管理界面、遠程開放的數據埠,本機設備插口)設計或者實現本身存在漏洞,允許以系統賬戶上傳和執行特定代碼,且系統本身存在提權漏洞。典型的如某知名廠商的路由器遠程升級功能存在可上傳任意腳本執行漏洞。

界面(管理界面、遠程開放的數據埠,本機設備插口)設計或者實現本身存在漏洞,允許以系統賬戶上傳和執行特定代碼,且可獲取數據。這樣可以dump設備內存,並通過其他漏洞回傳給攻擊者,攻擊者在dump中經過分析和搜索,找到可用的用戶名和密碼,進而通過界面控制設備。

漏洞修復方法和修復代價評估

通過內核頁表隔離(KPTI)補丁進行防禦 KPTI使得進程在用戶態和內核態使用不同的頁表,也說明在user/kernel切換時增加了開銷(原來僅在進程切換時切換頁表)。 因此,對性能的影響在於特定程序的設計:對於頻繁切換到內核態的進程來說性能影響會比較大(例如輪詢設備/文件資源,多次IO等)。

總結

Meltdown和Spectre漏洞的最大價值在於通用性和隱蔽性極好,但也存在致命缺點:無法「單打獨鬥」,需要其他漏洞配合才能完成特定攻擊。

目前尚無可用性較好的攻擊工具,但鑒於0day數量眾多,從攻擊成本和效率分析,預計很可能會出現利用ShellCode繞過KASLR防禦機制的攻擊工具。

安恆信息的產品是否受影響?

部分安恆信息的硬體產品使用了受漏洞影響的CPU型號(主要為Intel的I5、I7和E5系列),理論上存在這些漏洞。但考慮到設備是一個封閉環境,普通用戶沒有運行外部程序的機會,因此沒有利用該漏洞的機會,用戶無需恐慌。

安恆信息將會緊密關注廠商的補丁升級,如有需要會第一時間對產品進行升級。也請廣大用戶關注主流操作系統的官網,及時對PC進行系統升級。

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 安恆信息 的精彩文章:

TAG:安恆信息 |